Перейти к содержанию
Правила раздела

Фишинговые сайты

kh_PUCCA

От kh_PUCCA
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true, '', 0, 0);
 QuarantineFileF('c:\users\romenskybv\appdata\local\syslog\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\DateOption\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '32');
 QuarantineFile('C:\Users\romenskybv\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{4F3855AE-CD60-4DFE-B9EE-F45C3FE18280}" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true);
 DeleteFileMask('c:\users\romenskybv\appdata\local\syslog\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\DateOption\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*', true);
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\ValidateLife\');
 DeleteDirectory('c:\users\romenskybv\appdata\local\syslog\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\rightchose\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\DateOption\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\FileSystemOptions\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aobeaveffr', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DateOption', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FileSystemOptions', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FilterOptions', 'command');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

Скачайте актуальную версию Автологера и соберите логи ей.


 

 


опять фишинговые сайты, замучили.
и это неудительно, рекомендации которые вам дали в конце лечения вы так и не выполнили. Продолжите так и будете часто у нас лечиться ;)
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
kh_PUCCA Новичок

kh_PUCCA

Опубликовано
  • Автор
Опубликовано

[KLAN-6092818143]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
regCheck.vbs
regCheck_0.vbs
regCheck_1.vbs
regCheck_2.vbs
regCheck_3.vbs
regCheck_4.vbs
regCheck_5.vbs
regCheck_6.vbs
Интернет.url
Вoйти в Интeрнeт.lnk
Вoйти в Интeрнeт_0.lnk
regCheck.lnk
bcqr00017.dat
bcqr00018.dat
bcqr00019.dat
bcqr00020.dat
bcqr00021.dat
bcqr00022.dat

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
syslog.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ARMADA
      Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.
      От ARMADA
      Доброго времени суток!
      Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
      Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
      Письмо отправлено с адреса *****@*****.tld
      Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.
       
      Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.
       
      Файл отправил для анализа через https://opentip.kaspersky.com/
      9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF
       
      Очевидно что рассылка идёт прямо сейчас, и будет много жертв.
       
      Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".
      Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 
      По сему KVRT и логи предоставить не могу.
    • qwester
      Сайт блокируется ФинСерт
      От qwester
      Прошу прощения если не туда.
      У меня есть интеренет-магазин, который принимает оплату по банковским картам, но клиенты не могут оплатить, в службе поддержки эквайринга из банка написали следущее:
      IP-адрес XXX был заблокирован по рекомендации от ФинЦерт.
      Для исключения ip-адреса из списка ФинЦерт коллеги порекомендовали обратиться в Лабораторию Касперского, так как информация в ФинЦерт поступила от них.
       
      Что с этим делать? Сайт находится на общем хостинге, не VDS
    • красноджан
      что это за сайт?
      От красноджан
      выкинуло с рекламы на сайт [удалено] на вашем компьютере обнаружены вирусы для лечения отправте смс
       

      Сообщение от модератора thyrex Удалена ссылка
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • initial77
      Остановлен переход на недоверенный сайт - отключить
      От initial77
      Добрый день,
       
      Как это отключить раз и навсегда?
      Я не могу даже попасть на собственный роутер, меня это выбешивает уже.
      Если это нельзя отключить я просто удалю ваш продукт.
      Я не хочу ковыряться с исключениями - как просто взять и отключить этот кусок функционала??
×
×
  • Создать...